NIK wziął się za samorządy
Naczelna Izba Kontroli wzięła się za samorządy w zachodniopomorskim. Impulsem był trzeci stopień alarmowy CRP (CHARLIE-CRP), wprowadzony wobec zagrożenia o charakterze terrorystycznym, które obowiązywało w Polsce między 30 listopada 2023 r. a 29 lutego 2024 r. Zagrożenie to dotyczyło systemów teleinformatycznych administracji publicznej lub systemów, wchodzących w skład infrastruktury krytycznej.
Kontrola NIK objęła cztery urzędy gminne, gdzie liczba mieszkańców nie przekraczała 10 tysięcy osób. Celem kontroli było sprawdzenie, jak gmina zorganizowała ochronę przed cyberatakami, gdzie znajdują się serwery i jak wygląda ich ochrona fizyczna. NIK weryfikowała także czy samorządy mają aktualne, odpowiednio skonfigurowanie oprogramowanie. Pond lupą państwowych urzędników znalazły się także takie kwestie jak: sposób reagowania na incydenty teleinformatyczne oraz wiedza pracowników na temat bezpiecznego korzystania z systemów informatycznych.
Co ustalono?
Niestety zachodniopomorskie samorządy podczas kontroli NIK-u wypadły blado. Wieloletnie zaniedbania dotyczące cyberbezpieczeństwa, infrastruktury informatycznej, wiedzy i szkoleń pracowników, jak i wykorzystywanie nieaktualnego lub nieprawidłowo skonfigurowanego oprogramowania – to największe nieprawidłowości, na które wskazał NIK.
Chociaż urzędy gminne podjęły pewne kroki, tworząc dokumentację dotyczącą cyberbezpieczeństwa – w postaci Systemu zarządzania bezpieczeństwem informacji – nie spełniła ona pełnych wymagań prawnych. Wszystkie badane przypadki wykazały braki, nie odpowiadając kompleksowo na normy prawa, a szczególnie w trzech z nich dokumentacja nie była zgodna z kluczową normą PN-ISO/IEC 27001, dotyczącą zarządzania bezpieczeństwem informacji. Dodatkowo, w jednym z urzędów przez dwa lata, a w pozostałych trzech przez niemal cztery lata, zaniedbano wyznaczenie osoby odpowiedzialnej za kontakt z krajowym systemem cyberbezpieczeństwa, kluczową do zgłaszania i koordynacji reakcji na cyberataki.
W połowie badanych urzędów gminnych zaniedbano opracowanie procedur umożliwiających odtworzenie danych po cyberataku. Nawet tam, gdzie takie procedury powstały, nie przeprowadzono niezbędnych testów, które potwierdziłyby ich efektywność. Co więcej, choć urzędy regularnie tworzyły kopie zapasowe, brakowało systematycznej weryfikacji ich kompletności oraz zdolności do przywrócenia danych. W jednej z jednostek zauważono, że metoda tworzenia kopii zapasowych była tak niefortunna, że w przypadku infekcji serwera głównego, kopia ta również ulegałaby zainfekowaniu. Dodatkowo, w innym urzędzie, pomimo posiadania specjalistycznego oprogramowania zabezpieczającego, jego niewłaściwa konfiguracja nie oferowała oczekiwanej ochrony przed zagrożeniami.
Nieprawidłowości ciąg dalszy
W przeprowadzonych kontrolach ujawniono brak zinwentaryzowanego środowiska informatycznego w urzędach, przy czym w połowie z nich stwierdzono użycie przestarzałego oprogramowania, co otwierało furtkę dla cyberprzestępców do zdalnego przejęcia systemu. Również niepokojące było lekkomyślne podejście do usług chmurowych, bez wyraźnie określonych zasad bezpieczeństwa i kontroli.
Dodatkowo, w dwóch z badanych urzędów zauważono brak efektywnego systemu zarządzania incydentami bezpieczeństwa, który umożliwiałby szybką identyfikację i reagowanie na cyberataki. Mimo istnienia procedur, w jednym z urzędów, nie prowadzono rejestracji incydentów ani nie zgłaszano ich do odpowiednich jednostek zajmujących się cyberbezpieczeństwem, takich jak CSIRT NASK.
Kontrole ujawniły również niedostateczną fizyczną ochronę serwerów. W jednej z gmin serwer umieszczono w otwartej szafie biurowej, przez co nie był on zabezpieczony ani przed nieautoryzowanym dostępem, ani przed przypadkowym uszkodzeniem, co stanowiło poważne naruszenie podstawowych zasad bezpieczeństwa informacji. Ponadto ustalono, że w żadnym ze skontrolowanych urzędów pracownicy nie przeszli odpowiednich szkoleń w zakresie cyberbezpieczeństwa.
Czym mogły skutkować nieprawidłowości?
Uchybienia, które w zachodniopomorskich urzędach odkryło NIK, mogły doprowadzić do poważnych incydentów takich, jak chociażby: ryzyko trwałej utraty lub nieuprawnionego udostępniania danych osobowych obywateli, co podważa zaufanie do instytucji i naraża prywatność jednostek.
Brak właściwej cyberochrony w samorządach może doprowadzić także do ujawnienia poufnych informacji oraz uprawnień dostępu do innych, w tym bankowych systemów, co otwiera drzwi dla finansowych nadużyć. Cyberprzestępcy mogą również zablokować dostęp do systemów komputerowych lub uniemożliwić odczyt danych za pomocą oprogramowania typu ransomware, dążąc do wyłudzenia okupu.
Takie działania mogą zakłócić świadczenie usług publicznych, wpływając negatywnie na codzienne życie obywateli. W rezultacie systemy mogą zostać wykorzystane do działań przestępczych, na przykład poprzez włączenie komputerów do sieci typu botnet. Nie mniej istotny jest brak skutecznego systemu detekcji i reagowania na incydenty, co zwiększa podatność na ataki i uniemożliwia odpowiednią ochronę przed cyberzagrożeniami.
Liczba incydentów rośnie
Obserwujemy wyraźny wzrost liczby incydentów teleinformatycznych w ostatnich latach, co potwierdzają dane z raportu CSIRT GOV za 2021 rok. Zgłoszono w nim ponad 762 tysiące potencjalnych incydentów, co stanowi znaczący skok w porównaniu do poprzednich lat – około 246 tysięcy w 2020 roku i niecałe 227 tysięcy w 2019. Szczególnie w urzędach miast i gmin odnotowano ponad 5,5 tysiąca takich zdarzeń.
Dane uzyskane przez Najwyższą Izbę Kontroli od CSIRT NASK, zajmującego się reagowaniem na incydenty na szczeblu krajowym i obsługującego m.in. jednostki sektora finansów publicznych, wskazują na ponad 1000-procentowy wzrost liczby incydentów zgłaszanych w województwie zachodniopomorskim w latach 2018-2022. Co istotne, zgłoszenia pochodziły jedynie od 30 podmiotów, podczas gdy liczba gmin i powiatów w tym województwie wynosi 135, co wskazuje na niski poziom zgłaszalności incydentów wśród potencjalnie dotkniętych jednostek.
